EP1890269A1 - Provision of a function of a security token - Google Patents

Provision of a function of a security token Download PDF

Info

Publication number
EP1890269A1
EP1890269A1 EP07014168A EP07014168A EP1890269A1 EP 1890269 A1 EP1890269 A1 EP 1890269A1 EP 07014168 A EP07014168 A EP 07014168A EP 07014168 A EP07014168 A EP 07014168A EP 1890269 A1 EP1890269 A1 EP 1890269A1
Authority
EP
European Patent Office
Prior art keywords
security token
host system
function
physical
physical security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP07014168A
Other languages
German (de)
French (fr)
Other versions
EP1890269B1 (en
Inventor
Hinz Dr. Walter
Stephan Dr. Spitz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Publication of EP1890269A1 publication Critical patent/EP1890269A1/en
Application granted granted Critical
Publication of EP1890269B1 publication Critical patent/EP1890269B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Definitions

  • the invention relates generally to the field of security tokens, and more particularly to the field of providing a security token function on a host system.
  • a security token in the wording of the present document may be a smart card in various forms or a chip module - e.g. in the form of a USB plug - his.
  • a word-for-word host system in this document is generally any device that uses the security token function.
  • SIM or USIM cards are used as security tokens. These cards are permanently in the telecommunication device and are powered by this during the entire period of operation of the telecommunication device. Especially with compact telecommunication devices, it would be desirable to be able to use the space required by the card elsewhere. Furthermore, it is desirable to keep the power consumption of the telecommunication device as low as possible. Similar problems exist with other portable security systems that use smart cards or other security tokens.
  • Another application of security tokens is access authorization systems for encrypted media data, e.g. Decoder for pay-TV programs.
  • Decoder for pay-TV programs.
  • Such systems often have multiple slots for smart cards of several providers of pay-TV programs.
  • each slot is costly, so it would be desirable to be able to provide high user convenience even with only one slot.
  • security tokens are increasingly being used for two-factor authentication in security-critical applications; the host system in this case is a standard computer or embedded System. Again, there is a need to achieve the highest possible ease of use with the least possible effort.
  • US 2002/0080190 A1 shows a system for creating and managing "virtual smart cards".
  • a control program reads out the data contained in a physical chip card and stores it, for example, on a hard disk or a CD-ROM. The stored data can be used for backup and quick recovery of smart cards or edited by the control program.
  • the control program may also provide the functions of the smart card for application programs if the smart card has been damaged or lost.
  • a computing device that includes a physical security token and a protected storage area with a virtual security token.
  • the physical token is used to obtain a credential (credential) for the virtual token.
  • WO 2004/021715 A2 discloses a method to use a single SIM card simultaneously in a mobile phone and by a personal computer.
  • the SIM card is in the mobile phone. Requests to the SIM card from the computer are sent via a Bluetooth® interface to the mobile phone and answered there by the SIM card. The answer is transmitted to the computer via the Bluetooth interface.
  • US 2004/0072591 A1 shows an apparatus for checking access to mobile telephone networks, in which a plurality of real SIM cards of different service providers are arranged in a central unit. Mobile testing devices access these SIM cards. In this case, the test devices send authentication requests to the SIM cards and receive the answers generated by the SIM cards.
  • a memory card with personal data such as a telephone book, e-mail data or settings data can be connected to the mobile phone.
  • personal data such as a telephone book, e-mail data or settings data
  • the data is transferred from the memory card to the mobile phone, and when the user logs off, the data is transferred back to the memory card.
  • the invention is intended to help provide devices with particularly low power consumption and / or particularly compact devices and / or particularly cost-effective devices and / or particularly convenient to use devices.
  • the invention is based on the basic idea of carrying out a virtualization process in which, with access to a physical security token, a virtual security token is created in a secure area of the host system. After completing the virtualization process, the virtual security tokens provide at least one physical security token feature. The physical security token is then no longer needed in most embodiments and may be disabled and / or removed, for example.
  • the invention provides the technical basis for storing secret data contained in the physical security token, even during transmission to the host system and during use to reliably protect the virtual security token. Therefore, safety-critical functions, e.g. Encryption or decryption functions or authentication functions, are taken over by the virtual security token.
  • the virtualization process is executed each time the host system is booted, requiring the physical security token at any one time.
  • the host system according to the invention is developed in some embodiments with features that correspond to the features described above and / or the features mentioned in the dependent method claims.
  • a processor 12 and a memory 14 with an operating system 16 are shown as components of the host system 10.
  • the host system 10 may include a portable device - e.g. a mobile telecommunications device - or a conventional computer or embedded device - e.g. an access authorization system.
  • the host system 10 may include other components, e.g. a power supply, a keyboard and a display - has, however, which are not shown in Fig. 1 for reasons of clarity.
  • the host system 10 further includes an interface 18 via which a security token 20 is connected to the host system 10.
  • the security token 20 is for example a chip card or a chip module.
  • the interface 18 is adapted to the security token 20; For example, the interface 18 according to a common standard for smart cards - eg ISO / IEC 7816 or GSM 11.11 - or as a USB interface or as an interface for a memory card - eg an SD, MMC or SMMC card.
  • the security token 20 conventionally includes a processor and memory with operating system and other components; However, these components are not shown in Fig. 1 for the sake of clarity.
  • the operating system 16 of the host system 10 is a multi-tasking security operating system that allows the host system 10 to execute processes in their own separate areas. These regions are shown in FIG. 2 by the reference numerals 22A, 22B, 22C and are collectively referred to as regions 22x.
  • the operating system 16 partitions the resources of the host system 10 - e.g. Memory space in the memory 14 and processing time of the processor 12 - in the areas 22x, so that the areas 22x are securely isolated from each other and also no unauthorized access from outside to one of the areas 22x is possible. This allows safety-critical data, e.g. cryptographic keys to store and process in the areas 22x.
  • an operating system kernel 24 provides essential basic functions. Other operating system functions are executed in at least one area reserved for operating system services 26 - here, for example, area 22A.
  • the operating system kernel 24 is in some embodiments a microkernel, such as the microkernel known by the name L4, which is described in the article " Toward Real Microkernels "by Jochen Liedtke, Communications of the ACM, Vol. 39, No. 9,1996, pages 70-77 , is described.
  • Such a microkernel can achieve a particularly secure isolation of operating system processes.
  • the invention is not limited to microkernel operating systems.
  • the area 22B in Fig. 2 is for executing an application program 28 of the host system 10. It should be understood that the host system 10 may include other application programs - in the area 22B or in other areas.
  • a virtualization process is performed in which a virtual security token 30 is created.
  • the physical security token 20 is required.
  • a cryptographically secured communication channel 32 is established between the physical security token 20 and the process that invokes the virtual security token 30.
  • a mutual authentication may take place during which the security parameters for an encrypted connection - e.g. a symmetric session key - to be agreed. These security parameters are known only to the physical security token 20 as well as the process that creates the virtual security token 30.
  • the physical security token 20 After completing the virtualization process, the physical security token 20 is no longer required. It can be switched off and / or removed. Turning off the physical security token 20 reduces power consumption. When the physical security token 20 is removed, the interface 18 and / or the space occupied by the security token 20 may be used for other purposes.
  • the virtual security token 30 is implemented by a process that runs in region 22C and accesses data also stored in region 22C.
  • the operating system 16 hereby ensures that the area 22C has a fixed, isolated memory and a guaranteed quota of computing time available.
  • the storage protection prevents unauthorized access of other processes to the data of the virtual security token 30, while the quota of computing time ensures the availability of the virtual security token 30 in the host system 10.
  • the virtual security token 30 is cleared so that the physical security token 20 is needed again at the next boot.
  • the system described herein achieves end-to-end security between the physical security token 20 and the host system 10.
  • data to be kept secret exists only within the physical security token 20 and within the secure area 22C in plain text.
  • the host system 10 includes a TPM ( Trusted Platform Module ) to secure the operating system 16 is used.
  • TPM Trusted Platform Module
  • the role of the TPM is inherited by the physical security token 20 as long as it is attached to the host system 10.
  • embodiments are also provided in which no special protection hardware is used in the host system 10.
  • FIG. 3 shows the virtualization of the physical security token 20 in an example application where the security token 20 is a SIM or USIM card and the host system 10 is a mobile phone.
  • the security token 20 may be, for example, a SMMC card ( Secure Multi-Media Card ), and accordingly the interface 18 of the host system 10 is designed as an MMC slot.
  • SMMC card Secure Multi-Media Card
  • the illustration of Fig. 3 is not limited to the application example just mentioned, but applies to many embodiments of the invention.
  • host system 10 may be a production system or certification system or other system that uses smart cards as physical security tokens.
  • the virtualization process shown in FIG. 3 is triggered by the powering up and powering up of the host system 10.
  • the physical security token 20 must be present, that is, in the present example, the SMMC card is plugged into the MMC slot of the mobile phone.
  • other triggering events may be provided for the virtualization process.
  • the secure communication channel 32 is now set up in a build-up process 34, for which purpose, for example, a challenge-response authentication with key negotiation is carried out. You can do this known cryptographic techniques, such as Secure Messaging or SSL / TLS protocols, may be used.
  • the required contents - eg keys and data - of the physical security token 20 are now transferred in a transfer process 36 from the physical security token 20 into the secure area 22C of the host system 10. This content is then used in a create operation 38 to create the virtual security token 30 in region 22C.
  • the docking operation 38 may be performed in some embodiments upon completion of the transfer operation 36. In general, however, the transfer process 36 and the application process 38 completely or partially overlap and are executed in parallel or interleaved , as shown in Fig. 3.
  • the create operation 38 and thus the entire virtualization process are completed.
  • the behavior of the physical security token 20 is now emulated by the virtual security token 30. All requests during further operation of the host system 10, e.g. come from the application program 28 are directed to the virtual security token 30 and answered by this.
  • the communication takes place according to the same standards as would be relevant for the physical security token 20, e.g. ESTI or ISO / IEC 7816 standards.
  • the physical security token 20 is no longer needed. It is switched off in step 40, ie disconnected from the power supply of the host system 10. Now, the physical security token 20 can be removed from the interface 18. In the present example, this frees up the MMC slot of the mobile phone. This slot can then be used eg for "normal" MMC memory cards are used. In some embodiments, the operating system 16 of the host system 10 may decide on further uses of the interface 18. For example, it may be provided that only memory cards of a particular system operator are accepted.
  • a single physical security token 20 has been converted to a single virtual security token 30.
  • a 1: 1 mapping is not mandatory in some embodiments. Rather, embodiments are provided in which a virtual security token is generated from a plurality of physical security tokens, and vice versa.
  • An example of an application for using multiple physical security tokens 20 is a certification authority, e.g. Issue X.509 certificates.
  • the host system 10 may be a signature unit that operates with a "virtual smart card" as a virtual security token 30.
  • it may be provided that to generate the virtual security token 30, multiple physical security tokens 20 belonging to different users are requested. This measure achieves a particularly high overall security of the certification authority.
  • a physical security token 20 that combines several functions.
  • a smart card may be configured both as a SIM for mobile communication services and as a decryption card for digital television. Because of the limited data throughput through the interface of the smart card and / or the limited computing power may be the use not possible at the same time.
  • virtualization can provide a remedy if in the host system 10 more computing power for the virtual security token 30 and / or a higher communication bandwidth between the virtual security token 30 and the application programs - eg 28 - is available.
  • the physical security token 20 may be implemented in a single or multiple virtual security tokens 30.

Abstract

The initialization process for a physical security token (20) in a host system (10). A virtualization process (34, 36, 38) based on the physical token creates a virtual one (30) in a secure region of the host system. The required initialization data are sent via an encrypted channel (32) from the physical token to the host system, so that the virtual one initializes the function without recourse to the physical one.

Description

Die Erfindung betrifft allgemein das Gebiet der Sicherheitstoken und spezieller das Gebiet des Bereitstellens einer Funktion eines Sicherheitstokens auf einem Host-System. Ein Sicherheitstoken in der Wortwahl des vorliegenden Dokuments kann beispielsweise eine Chipkarte in unterschiedlichen Ausgestaltungen oder ein Chipmodul - z.B. in Form eines USB-Steckers - sein. Ein Host-System in der Wortwahl des vorliegenden Dokuments ist generell jedes Gerät, das die Funktion des Sicherheitstokens nutzt.The invention relates generally to the field of security tokens, and more particularly to the field of providing a security token function on a host system. For example, a security token in the wording of the present document may be a smart card in various forms or a chip module - e.g. in the form of a USB plug - his. A word-for-word host system in this document is generally any device that uses the security token function.

Bei mobilen Telekommunikationsgeräten - z.B. Mobiltelefonen - werden in der Regel SIM- oder USIM-Karten als Sicherheitstoken verwendet. Diese Karten befinden sich dauerhaft im Telekommunikationsgerät und werden während der gesamten Betriebszeit des Telekommunikationsgerätes von diesem mit Strom versorgt. Gerade bei kompakten Telekommunikationsgeräten wäre es wünschenswert, den von der Karte benötigten Platz auch anderweitig nutzen zu können. Ferner ist es wünschenswert, den Strombedarf des Telekommunikationsgerätes so gering wie möglich zu halten. Entsprechende Probleme bestehen bei anderen portablen Sicherheitssystemen, die Chipkarten oder andere Sicherheitstoken verwenden.In mobile telecommunications equipment - e.g. Mobile phones - typically SIM or USIM cards are used as security tokens. These cards are permanently in the telecommunication device and are powered by this during the entire period of operation of the telecommunication device. Especially with compact telecommunication devices, it would be desirable to be able to use the space required by the card elsewhere. Furthermore, it is desirable to keep the power consumption of the telecommunication device as low as possible. Similar problems exist with other portable security systems that use smart cards or other security tokens.

Ein weiterer Anwendungsbereich von Sicherheitstoken sind Zugangsberechtigungssysteme für verschlüsselte Mediendaten, z.B. Decoder für Pay-TV-Programme. Derartige Systeme weisen oftmals mehrere Steckplätze für Chipkarten mehrerer Anbieter von Pay-TV-Programmen auf. Jeder Steckplatz verursacht jedoch Kosten, so dass es wünschenswert wäre, auch mit nur einem Steckplatz hohen Benutzerkomfort bereitstellen zu können.Another application of security tokens is access authorization systems for encrypted media data, e.g. Decoder for pay-TV programs. Such systems often have multiple slots for smart cards of several providers of pay-TV programs. However, each slot is costly, so it would be desirable to be able to provide high user convenience even with only one slot.

Ferner werden Sicherheitstoken in zunehmendem Maße für die Zwei-Faktor-Authentisierung bei sicherheitskritischen Anwendungen verwendet; das Host-System ist in diesem Fall ein üblicher Computer oder ein eingebettetes System. Auch hier besteht ein Bedürfnis, mit möglichst geringem Aufwand eine möglichst hohe Benutzerfreundlichkeit zu erreichen.Furthermore, security tokens are increasingly being used for two-factor authentication in security-critical applications; the host system in this case is a standard computer or embedded System. Again, there is a need to achieve the highest possible ease of use with the least possible effort.

US 2002/0080190 A1 zeigt ein System zum Anlegen und Verwalten von "virtuellen Chipkarten". Ein Steuerprogramm liest die in einer physischen Chipkarte enthaltenen Daten aus und speichert sie z.B. auf einer Festplatte oder einer CD-ROM. Die gespeicherten Daten können zur Sicherung und schnellen Wiederherstellung von Chipkarten verwendet oder mittels des Steuerprogramms bearbeitet werden. Das Steuerprogramm kann ferner die Funktionen der Chipkarte für Anwendungsprogramme bereitstellen, wenn die Chipkarte beschädigt wurde oder verloren gegangen ist. US 2002/0080190 A1 shows a system for creating and managing "virtual smart cards". A control program reads out the data contained in a physical chip card and stores it, for example, on a hard disk or a CD-ROM. The stored data can be used for backup and quick recovery of smart cards or edited by the control program. The control program may also provide the functions of the smart card for application programs if the smart card has been damaged or lost.

Aus WO 03/052565 A1 ist eine Computervorrichtung bekannt, die ein physisches Sicherheitstoken und einen geschützten Speicherbereich mit einem virtuellen Sicherheitstoken aufweist. Das physische Token wird verwendet, um einen Berechtigungsnachweis (credential) für das virtuelle Token zu erhalten.Out WO 03/052565 A1 For example, a computing device is known that includes a physical security token and a protected storage area with a virtual security token. The physical token is used to obtain a credential (credential) for the virtual token.

WO 2004/021715 A2 offenbart ein Verfahren, um eine einzige SIM-Karte gleichzeitig in einem Mobiltelefon und durch einen persönlichen Computer zu nutzen. Die SIM-Karte befindet sich im Mobiltelefon. Anfragen an die SIM-Karte, die von dem Computer ausgehen, werden über eine Bluetooth®-Schnittstelle an das Mobiltelefon gesendet und dort von der SIM-Karte beantwortet. Die Antwort wird über die Bluetooth-Schnittstelle zum Computer übertragen. WO 2004/021715 A2 discloses a method to use a single SIM card simultaneously in a mobile phone and by a personal computer. The SIM card is in the mobile phone. Requests to the SIM card from the computer are sent via a Bluetooth® interface to the mobile phone and answered there by the SIM card. The answer is transmitted to the computer via the Bluetooth interface.

US 2004/0072591 A1 zeigt eine Vorrichtung zur Prüfung des Zugangs zu Mobiltelefonnetzen, bei der mehrere reale SIM-Karten unterschiedlicher Dienstanbieter in einer Zentraleinheit angeordnet sind. Mobile Testgeräte greifen auf diese SIM-Karten zu. Hierbei senden die Testgeräte Authentisierungsanfragen an die SIM-Karten und erhalten die von den SIM-Karten erzeugten Antworten. US 2004/0072591 A1 shows an apparatus for checking access to mobile telephone networks, in which a plurality of real SIM cards of different service providers are arranged in a central unit. Mobile testing devices access these SIM cards. In this case, the test devices send authentication requests to the SIM cards and receive the answers generated by the SIM cards.

Aus US 2005/0227729 A1 ist ein Mobiltelefon bekannt, das zur Verwendung durch mehrere Benutzer vorgesehen ist. An das Mobiltelefon ist eine Speicherkarte mit persönlichen Daten wie z.B. einem Telefonbuch, E-Mail-Daten oder Einstellungsdaten anschließbar. Wenn ein Benutzer sich bei dem Mobiltelefon anmeldet, werden die Daten von der Speicherkarte in das Mobiltelefon übertragen, und wenn der Benutzer sich abmeldet, werden die Daten in die Speicherkarte zurück übertragen.Out US 2005/0227729 A1 For example, a mobile phone intended for use by multiple users is known. A memory card with personal data such as a telephone book, e-mail data or settings data can be connected to the mobile phone. When a user logs on to the mobile phone, the data is transferred from the memory card to the mobile phone, and when the user logs off, the data is transferred back to the memory card.

Die Erfindung hat die Aufgabe, eine Technik bereitzustellen, die hohe Sicherheit bietet und dabei Probleme, die sich bei der Verwendung von Sicherheitstoken nach dem Stand der Technik ergeben, vermeidet. In manchen Ausgestaltungen soll die Erfindung dazu beitragen, Geräte mit besonders geringem Stromverbrauch und/ oder besonders kompakte Geräte und/ oder besonders kostengünstige Geräte und/ oder besonders bequem zu bedienende Geräte bereitzustellen.It is an object of the invention to provide a technique which provides high security while avoiding problems associated with the use of prior art security tokens. In some embodiments, the invention is intended to help provide devices with particularly low power consumption and / or particularly compact devices and / or particularly cost-effective devices and / or particularly convenient to use devices.

Erfindungsgemäß wird diese Aufgabe ganz oder zum Teil gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 1 und ein Host-System mit den Merkmalen des Anspruchs 12. Die abhängigen Ansprüche definieren optionale Merkmale mancher Ausgestaltungen der Erfindung.According to the invention, this object is achieved in whole or in part by a method having the features of claim 1 and a host system having the features of claim 12. The dependent claims define optional features of some embodiments of the invention.

Die Erfindung geht von der Grundidee aus, einen Virtualisierungsvorgang auszuführen, bei dem unter Zugriff auf ein physisches Sicherheitstoken ein virtuelles Sicherheitstoken in einem gesicherten Bereich des Host-Systems angelegt wird. Nach Abschluss des Virtualisierungsvorgangs stellt das virtuelle Sicherheitstoken mindestens eine Funktion des physischen Sicherheitstokens bereit. Das physische Sicherheitstoken wird dann in den meisten Ausgestaltungen nicht mehr benötigt und kann z.B. abgeschaltet und/oder entfernt werden.The invention is based on the basic idea of carrying out a virtualization process in which, with access to a physical security token, a virtual security token is created in a secure area of the host system. After completing the virtualization process, the virtual security tokens provide at least one physical security token feature. The physical security token is then no longer needed in most embodiments and may be disabled and / or removed, for example.

Durch die Verwendung eines kryptographisch gesicherten Kommunikationskanals für die Datenübertragung und eines gesicherten Bereichs zum Anlegen des virtuellen Sicherheitstokens schafft die Erfindung die technischen Grundlagen, um geheime Daten, die im physischen Sicherheitstoken enthalten sind, auch während der Übertragung in das Host-System und während der Verwendung des virtuellen Sicherheitstokens zuverlässig zu schützen. Es können daher auch sicherheitskritische Funktionen, z.B. Ver- oder Entschlüsselungsfunktionen oder Authentisierungsfunktionen, vom virtuellen Sicherheitstoken übernommen werden.Through the use of a cryptographically secured communication channel for data transmission and a secured area for creating the virtual security token, the invention provides the technical basis for storing secret data contained in the physical security token, even during transmission to the host system and during use to reliably protect the virtual security token. Therefore, safety-critical functions, e.g. Encryption or decryption functions or authentication functions, are taken over by the virtual security token.

Aus Gründen der Sicherheit wird in manchen Ausgestaltungen der Virtualisierungsvorgang bei jedem Hochfahren des Host-Systems ausgeführt, wobei jeweils das physische Sicherheitstoken zwingend benötigt wird.For security reasons, in some embodiments, the virtualization process is executed each time the host system is booted, requiring the physical security token at any one time.

Während in vielen Ausgestaltungen eine 1:1-Beziehung zwischen dem physischen und dem virtuellen Sicherheitstoken besteht, sind auch Ausführungsformen vorgesehen, bei denen aus mehreren physischen Sicherheitstoken ein einziges virtuelles Sicherheitstoken erzeugt wird oder aus einem einzigen physischen Sicherheitstoken mehrere virtuelle Sicherheitstoken erzeugt werden.While in many embodiments there is a one-to-one correspondence between the physical and virtual security tokens, embodiments are also provided in which a single virtual security token is generated from multiple physical security tokens or multiple virtual security tokens are generated from a single physical security token.

Das erfindungsgemäße Host-System ist in manchen Ausgestaltungen mit Merkmalen weitergebildet, die den oben beschriebenen und/oder den in den abhängigen Verfahrensansprüchen genannten Merkmalen entsprechen.The host system according to the invention is developed in some embodiments with features that correspond to the features described above and / or the features mentioned in the dependent method claims.

Weitere Merkmale, Vorteile und Aufgaben der Erfindung gehen aus der folgenden genauen Beschreibung von Ausführungsbeispielen hervor. In den schematischen Zeichnungen zeigen:

  • Fig. 1 ein Blockdiagramm eines Host-Systems und eines Sicherheitstokens in einem Ausführungsbeispiel der Erfindung,
  • Fig. 2 eine Darstellung logischer Strukturen in dem in Fig. 1 gezeigten Ausführungsbeispiel, und
  • Fig. 3 ein Ablaufdiagramm eines Virtualisierungsvorgangs in einem Anwendungsbeispiel der Erfindung.
Other features, advantages and objects of the invention will be apparent from the following detailed description of exemplary embodiments. In the schematic drawings show:
  • 1 is a block diagram of a host system and a security token in an embodiment of the invention;
  • FIG. 2 is a diagram of logical structures in the embodiment shown in FIG. 1; and FIG
  • 3 is a flowchart of a virtualization process in an application example of the invention.

In der schematischen Darstellung von Fig. 1 sind als Bestandteile des Host-Systems 10 ein Prozessor 12 und ein Speicher 14 mit einem Betriebssystem 16 gezeigt. Das Host-System 10 kann beispielsweise ein portables Gerät - z.B. ein mobiles Telekommunikationsgerät - oder ein üblicher Computer oder ein eingebettetes Gerät - z.B. ein Zugangsberechtigungssystem - sein. Es versteht sich, dass das Host-System 10 je nach seiner genauen Ausgestaltung weitere Komponenten - z.B. eine Stromversorgung, einer Tastatur und eine Anzeige - aufweist, die jedoch in Fig. 1 aus Gründen der klareren Darstellung nicht gezeigt sind.In the schematic representation of FIG. 1, a processor 12 and a memory 14 with an operating system 16 are shown as components of the host system 10. For example, the host system 10 may include a portable device - e.g. a mobile telecommunications device - or a conventional computer or embedded device - e.g. an access authorization system. It should be understood that the host system 10 may include other components, e.g. a power supply, a keyboard and a display - has, however, which are not shown in Fig. 1 for reasons of clarity.

Das Host-System 10 weist ferner eine Schnittstelle 18 auf, über die ein Sicherheitstoken 20 mit dem Host-System 10 verbunden ist. Das Sicherheitstoken 20 ist beispielsweise eine Chipkarte oder ein Chipmodul. Die Schnittstelle 18 ist an das Sicherheitstoken 20 angepasst; beispielsweise kann die Schnittstelle 18 nach einer für Chipkarten üblichen Norm - z.B. ISO/IEC 7816 oder GSM 11.11 - oder als USB-Schnittstelle oder als Schnittstelle für eine Speicherkarte - z.B. eine SD-, MMC- oder SMMC-Karte - ausgestaltet sein. Das Sicherheitstoken 20 enthält in üblicher Weise einen Prozessor und einen Speicher mit Betriebssystem sowie weitere Bauelemente; diese Bestandteile sind jedoch in Fig. 1 aus Gründen der klareren Darstellung nicht gezeigt.The host system 10 further includes an interface 18 via which a security token 20 is connected to the host system 10. The security token 20 is for example a chip card or a chip module. The interface 18 is adapted to the security token 20; For example, the interface 18 according to a common standard for smart cards - eg ISO / IEC 7816 or GSM 11.11 - or as a USB interface or as an interface for a memory card - eg an SD, MMC or SMMC card. The security token 20 conventionally includes a processor and memory with operating system and other components; However, these components are not shown in Fig. 1 for the sake of clarity.

Das Betriebssystem 16 des Host-Systems 10 ist ein multitasking-fähiges Sicherheits-Betriebssystem, das es ermöglicht, im Host-System 10 Prozesse in jeweils eigenen, voneinander getrennten Bereichen auszuführen. Diese Bereiche sind in Fig. 2 mit den Bezugszeichen 22A, 22B, 22C gezeigt und werden im folgenden zusammenfassend als Bereiche 22x bezeichnet. Das Betriebssystem 16 partitioniert die Ressourcen des Host-Systems 10 - z.B. Speicherplatz im Speicher 14 und Rechenzeit des Prozessors 12 - in die Bereiche 22x, so dass die Bereiche 22x sicher voneinander abgeschottet sind und auch kein unerlaubter Zugriff von außen auf einen der Bereiche 22x möglich ist. Dies ermöglicht es, sicherheitskritische Daten, z.B. kryptographische Schlüssel, in den Bereichen 22x abzulegen und zu verarbeiten.The operating system 16 of the host system 10 is a multi-tasking security operating system that allows the host system 10 to execute processes in their own separate areas. These regions are shown in FIG. 2 by the reference numerals 22A, 22B, 22C and are collectively referred to as regions 22x. The operating system 16 partitions the resources of the host system 10 - e.g. Memory space in the memory 14 and processing time of the processor 12 - in the areas 22x, so that the areas 22x are securely isolated from each other and also no unauthorized access from outside to one of the areas 22x is possible. This allows safety-critical data, e.g. cryptographic keys to store and process in the areas 22x.

Wie in Fig. 2 gezeigt, stellt während des Betriebs des Host-Systems 10 ein Betriebssystemkern 24 wesentliche Grundfunktionen bereit. Weitere Betriebssystemfunktionen werden in mindestens einem für Betriebssystemdienste 26 reservierten Bereich - hier z.B. dem Bereich 22A - ausgeführt. Der Betriebssystemkern 24 ist in manchen Ausgestaltungen ein Mikrokernel wie beispielsweise der unter dem Namen L4 bekannte Mikrokernel, der in dem Artikel " Toward Real Microkernels" von Jochen Liedtke, Communications of the ACM, Vol. 39, No. 9,1996, Seiten 70 - 77 , beschrieben ist. Ein solcher Mikrokernel kann eine besonders sichere Abschottung von Betriebssystemprozessen erreichen. Die Erfindung ist jedoch nicht auf Microkernel-Betriebssysteme beschränkt.As shown in FIG. 2, during operation of the host system 10, an operating system kernel 24 provides essential basic functions. Other operating system functions are executed in at least one area reserved for operating system services 26 - here, for example, area 22A. The operating system kernel 24 is in some embodiments a microkernel, such as the microkernel known by the name L4, which is described in the article " Toward Real Microkernels "by Jochen Liedtke, Communications of the ACM, Vol. 39, No. 9,1996, pages 70-77 , is described. Such a microkernel can achieve a particularly secure isolation of operating system processes. However, the invention is not limited to microkernel operating systems.

Der Bereich 22B in Fig. 2 dient zur Ausführung eines Anwendungsprogramms 28 des Host-Systems 10. Es versteht sich, dass das Host-System 10 weitere Anwendungsprogramme - im Bereich 22B oder in weiteren Bereichen - aufweisen kann.The area 22B in Fig. 2 is for executing an application program 28 of the host system 10. It should be understood that the host system 10 may include other application programs - in the area 22B or in other areas.

Im Bereich 22C wird beim Starten des Host-Systems 10 und Hochfahren (Booten) des Betriebssystems 16 ein Virtualisierungsvorgang ausgeführt, bei dem ein virtuelles Sicherheitstoken 30 angelegt wird. Hierzu wird das physische Sicherheitstoken 20 zwingend benötigt. Beim Virtualisierungsvorgang wird ein kryptographisch gesicherter Kommunikationskanal 32 zwischen dem physischen Sicherheitstoken 20 und dem Prozess, der das virtuelle Sicherheitstoken 30 anlegt, aufgebaut. Beispielsweise kann eine gegenseitige Authentisierung erfolgen, in deren Verlauf die Sicherheitsparameter für eine verschlüsselte Verbindung - z.B. ein symmetrischer Sitzungsschlüssel - vereinbart werden. Diese Sicherheitsparameter sind nur dem physischen Sicherheitstoken 20 sowie dem Prozess, der das virtuelle Sicherheitstoken 30 anlegt, bekannt.In area 22C, when starting the host system 10 and booting the operating system 16, a virtualization process is performed in which a virtual security token 30 is created. For this, the physical security token 20 is required. In the virtualization process, a cryptographically secured communication channel 32 is established between the physical security token 20 and the process that invokes the virtual security token 30. For example, a mutual authentication may take place during which the security parameters for an encrypted connection - e.g. a symmetric session key - to be agreed. These security parameters are known only to the physical security token 20 as well as the process that creates the virtual security token 30.

Da der kryptographisch gesicherte Kommunikationskanal 32 weder für andere Prozesse im Host-System 10 noch für einen externen Angreifer zugänglich ist, können alle - auch streng vertrauliche - Informationen vom physischen Sicherheitstoken 20 zum virtuellen Sicherheitstoken 30 übertragen werden. Dies macht es möglich, dass das virtuelle Sicherheitstoken 30 während des weiteren Betriebs alle Funktionen des physischen Sicherheitstokens 20 übernimmt. Es findet daher eine "vollständige Virtualisierung des Sicherheitstokens" statt.Since the cryptographically secure communication channel 32 is neither accessible to other processes in the host system 10 nor to an external attacker, all-even highly confidential-information can be transferred from the physical security token 20 to the virtual security token 30. This allows the virtual security token 30 to take over all the functions of the physical security token 20 during further operation. There is therefore a "complete virtualization of the security token" instead.

Nach Abschluss des Virtualisierungsvorgangs ist das physische Sicherheitstoken 20 nicht mehr erforderlich. Es kann abgeschaltet und/ oder entfernt werden. Durch das Abschalten des physichen Sicherheitstokens 20 wird der Stromverbrauch reduziert. Wenn das physische Sicherheitstoken 20 entfernt wird, so können die Schnittstelle 18 und/oder der vom Sicherheitstoken 20 eingenommene Platz für andere Zwecke genutzt werden.After completing the virtualization process, the physical security token 20 is no longer required. It can be switched off and / or removed. Turning off the physical security token 20 reduces power consumption. When the physical security token 20 is removed, the interface 18 and / or the space occupied by the security token 20 may be used for other purposes.

Das virtuelle Sicherheitstoken 30 wird durch einen Prozess implementiert, der im Bereich 22C abläuft und auf ebenfalls im Bereich 22C gespeicherte Daten zugreift. Das Betriebssystem 16 stellt hierbei sicher, dass dem Bereich 22C ein fester, abgeschotteter Speicher und ein garantiertes Kontingent an Rechenzeit zur Verfügung steht. Der Speicherschutz verhindert einen unberechtigten Zugriff anderer Prozesse auf die Daten des virtuellen Sicherheitstokens 30, während das Kontingent an Rechenzeit die Verfügbarkeit des virtuellen Sicherheitstokens 30 im Host-System 10 sicherstellt.The virtual security token 30 is implemented by a process that runs in region 22C and accesses data also stored in region 22C. The operating system 16 hereby ensures that the area 22C has a fixed, isolated memory and a guaranteed quota of computing time available. The storage protection prevents unauthorized access of other processes to the data of the virtual security token 30, while the quota of computing time ensures the availability of the virtual security token 30 in the host system 10.

Beim Abschalten oder Herunterfahren des Host-Systems 10 wird im vorliegenden Ausführungsbeispiel das virtuelle Sicherheitstoken 30 gelöscht, so dass beim nächsten Start das physische Sicherheitstoken 20 erneut benötigt wird.When the host system 10 is powered off or shut down, in the present embodiment, the virtual security token 30 is cleared so that the physical security token 20 is needed again at the next boot.

Insgesamt wird bei dem hier beschriebenen System eine Ende-zu-Ende Sicherheit zwischen dem physischen Sicherheitstoken 20 und dem Host-System 10 erreicht. Mit anderen Worten liegen geheim zu haltende Daten nur innerhalb des physischen Sicherheitstokens 20 und innerhalb des gesicherten Bereichs 22C im Klartext vor. Da hohe Anforderungen an die Sicherheit des Betriebssystems 16 und die Abschottung des Bereichs 22C gestellt werden, weist das Host-System 10 in manchen Ausgestaltungen ein TPM (Trusted Platform Module) auf, das zur Absicherung des Betriebssystems 16 dient. In weiteren Ausführungsformen wird die Rolle des TPM von dem physischen Sicherheitstoken 20 übernommen, solange dieses an das Host-System 10 angeschlossen ist. Es sind jedoch auch Ausgestaltungen vorgesehen, bei denen keine spezielle Absicherungshardware im Host-System 10 verwendet wird.Overall, the system described herein achieves end-to-end security between the physical security token 20 and the host system 10. In other words, data to be kept secret exists only within the physical security token 20 and within the secure area 22C in plain text. As high demands are placed on the security of the operating system 16 and the partitioning of the area 22C, in some embodiments, the host system 10 includes a TPM ( Trusted Platform Module ) to secure the operating system 16 is used. In other embodiments, the role of the TPM is inherited by the physical security token 20 as long as it is attached to the host system 10. However, embodiments are also provided in which no special protection hardware is used in the host system 10.

Fig. 3 zeigt die Virtualisierung des physischen Sicherheitstokens 20 in einem Anwendungsbeispiel, bei dem das Sicherheitstoken 20 eine SIM- oder USIM-Karte und das Host-System 10 ein Mobiltelefon ist. Hinsichtlich seiner Bauform kann das Sicherheitstoken 20 beispielsweise eine SMMC-Karte (Secure Multi-Media Card) sein, und entsprechend ist die Schnittstelle 18 des Host-Systems 10 als MMC-Steckplatz ausgestaltet. Die Darstellung von Fig. 3 ist nicht auf das gerade genannte Anwendungsbeispiel beschränkt, sondern trifft auf viele Ausgestaltungen der Erfindung zu. Beispielsweise kann das Host-System 10 ein Produktionssystem oder ein Zertifizierungssystem oder ein sonstiges System sein, das Chipkarten als physische Sicherheitstoken verwendet.FIG. 3 shows the virtualization of the physical security token 20 in an example application where the security token 20 is a SIM or USIM card and the host system 10 is a mobile phone. With regard to its design, the security token 20 may be, for example, a SMMC card ( Secure Multi-Media Card ), and accordingly the interface 18 of the host system 10 is designed as an MMC slot. The illustration of Fig. 3 is not limited to the application example just mentioned, but applies to many embodiments of the invention. For example, host system 10 may be a production system or certification system or other system that uses smart cards as physical security tokens.

Der in Fig. 3 gezeigte Virtualisierungsvorgang wird durch das Einschalten und Hochfahren des Host-Systems 10 ausgelöst. Zu diesem Zeitpunkt muss das physische Sicherheitstoken 20 präsent sein, also im vorliegenden Beispiel die SMMC-Karte in den MMC-Steckplatz des Mobiltelefons eingesteckt sein. In Ausführungsalternativen können - alternativ oder zusätzlich - andere Auslöseereignisse für den Virtualisierungsvorgang vorgesehen sein.The virtualization process shown in FIG. 3 is triggered by the powering up and powering up of the host system 10. At this time, the physical security token 20 must be present, that is, in the present example, the SMMC card is plugged into the MMC slot of the mobile phone. In alternative embodiments, alternatively or additionally, other triggering events may be provided for the virtualization process.

Es wird nun in einem Aufbauvorgang 34 der gesicherte Kommunikationskanal 32 aufgebaut, wozu beispielsweise eine Challenge-Response-Authentisierung mit Schlüsselaushandlung durchgeführt wird. Hierzu können an sich bekannte kryptographische Verfahren, wie z.B. Verfahren gemäß den Secure Messaging oder SSL/TLS-Protokollen, verwendet werden.The secure communication channel 32 is now set up in a build-up process 34, for which purpose, for example, a challenge-response authentication with key negotiation is carried out. You can do this known cryptographic techniques, such as Secure Messaging or SSL / TLS protocols, may be used.

Die benötigten Inhalte - z.B. Schlüssel und Daten - des physischen Sicherheitstokens 20 werden nun in einem Übertragungsvorgang 36 vom physischen Sicherheitstoken 20 in den gesicherten Bereich 22C des Host-Systems 10 übertragen. Diese Inhalte werden dann in einem Anlegevorgang 38 verwendet, um das virtuelle Sicherheitstoken 30 im Bereich 22C anzulegen. Der Anlegevorgang 38 kann in manchen Ausgestaltungen nach Abschluss des Übertragungsvorgangs 36 ausgeführt werden. In der Regel überlappen sich jedoch der Übertragungsvorgang 36 und der Anlegevorgang 38 ganz oder teilweise und werden parallel oder ineinander verzahnt (interleaved) ausgeführt, wie in Fig. 3 gezeigt.The required contents - eg keys and data - of the physical security token 20 are now transferred in a transfer process 36 from the physical security token 20 into the secure area 22C of the host system 10. This content is then used in a create operation 38 to create the virtual security token 30 in region 22C. The docking operation 38 may be performed in some embodiments upon completion of the transfer operation 36. In general, however, the transfer process 36 and the application process 38 completely or partially overlap and are executed in parallel or interleaved , as shown in Fig. 3.

Nach der Initialisierung des virtuellen Sicherheitstokens 30 im Host-System 10 sind der Anlegevorgang 38 und damit der gesamte Virtualisierungsvorgang abgeschlossen. Das Verhalten des physischen Sicherheitstokens 20 wird nun durch das virtuelle Sicherheitstoken 30 emuliert. Alle Anfragen während des weiteren Betriebs des Host-Systems 10, die z.B. vom Anwendungsprogramm 28 stammen, werden an das virtuelle Sicherheitstoken 30 gerichtet und von diesem beantwortet. Die Kommunikation erfolgt dabei gemäß denselben Normen, die auch für das physische Sicherheitstoken 20 einschlägig wären, also z.B. ESTI- oder ISO/IEC-7816-Normen.After the initialization of the virtual security token 30 in the host system 10, the create operation 38 and thus the entire virtualization process are completed. The behavior of the physical security token 20 is now emulated by the virtual security token 30. All requests during further operation of the host system 10, e.g. come from the application program 28 are directed to the virtual security token 30 and answered by this. The communication takes place according to the same standards as would be relevant for the physical security token 20, e.g. ESTI or ISO / IEC 7816 standards.

Das physische Sicherheitstoken 20 wird nun nicht mehr benötigt. Es wird in Schritt 40 abgeschaltet, also von der Stromversorgung des Host-Systems 10 getrennt. Nun kann das physische Sicherheitstoken 20 aus der Schnittstelle 18 entfernt werden. Im vorliegenden Beispiel wird dadurch der MMC-Steckplatz des Mobiltelefons frei. Dieser Steckplatz kann dann z.B. für "normale" MMC-Speicherkarten verwendet werden. In manchen Ausgestaltungen kann das Betriebssystem 16 des Host-Systems 10 über die weiteren Verwendungsmöglichkeiten der Schnittstelle 18 entscheiden. Beispielsweise kann vorgesehen sein, dass nur Speicherkarten eines bestimmten Systembetreibers akzeptiert werden.The physical security token 20 is no longer needed. It is switched off in step 40, ie disconnected from the power supply of the host system 10. Now, the physical security token 20 can be removed from the interface 18. In the present example, this frees up the MMC slot of the mobile phone. This slot can then be used eg for "normal" MMC memory cards are used. In some embodiments, the operating system 16 of the host system 10 may decide on further uses of the interface 18. For example, it may be provided that only memory cards of a particular system operator are accepted.

Bei dem gerade beschriebenen Ausführungsbeispiel wurde ein einziges physisches Sicherheitstoken 20 zu einem einzigen virtuellen Sicherheitstoken 30 umgesetzt. Eine solche 1:1-Zuordnung ist jedoch in manchen Ausgestaltungen nicht zwingend. Es sind vielmehr Ausführungsformen vorgesehen, in denen ein virtuelles Sicherheitstoken aus mehreren physischen Sicherheitstoken erzeugt wird und umgekehrt.In the embodiment just described, a single physical security token 20 has been converted to a single virtual security token 30. However, such a 1: 1 mapping is not mandatory in some embodiments. Rather, embodiments are provided in which a virtual security token is generated from a plurality of physical security tokens, and vice versa.

Ein Anwendungsbeispiel für die Verwendung mehrerer physischen Sicherheitstoken 20 ist eine Zertifizierungsstelle, die z.B. X.509-Zertifikate ausstellt. Bei einer solchen Zertifizierungsstelle kann das Host-System 10 eine Signatureinheit sein, die mit einer "virtuellen Chipkarte" als virtuellem Sicherheitstoken 30 arbeitet. In manchen Ausgestaltungen kann vorgesehen sein, dass zur Erzeugung des virtuellen Sicherheitstokens 30 mehrere physische Sicherheitstoken 20, die unterschiedlichen Benutzern gehören, angefordert werden. Durch diese Maßnahme wird eine besonders hohe Gesamtsicherheit der Zertifizierungsstelle erreicht.An example of an application for using multiple physical security tokens 20 is a certification authority, e.g. Issue X.509 certificates. At such a certification authority, the host system 10 may be a signature unit that operates with a "virtual smart card" as a virtual security token 30. In some embodiments, it may be provided that to generate the virtual security token 30, multiple physical security tokens 20 belonging to different users are requested. This measure achieves a particularly high overall security of the certification authority.

Ein weiteres Anwendungsbeispiel ergibt sich bei einem physischen Sicherheitstoken 20, das mehrere Funktionen in sich vereinigt. Beispielsweise kann eine Chipkarte sowohl als SIM für Mobilkommunikationsdienste als auch als Entschlüsselungskarte für digitales Fernsehen ausgestaltet sein. Wegen des beschränkten Datendurchsatzes durch die Schnittstelle der Chipkarte und/oder der beschränkten Rechenleistung ist möglicherweise die Nutzung dieser Funktionen nicht gleichzeitig möglich. Hier kann eine Virtualisierung Abhilfe schaffen, wenn im Host-System 10 mehr Rechenleistung für das virtuelle Sicherheitstoken 30 und/ oder eine höhere Kommunkationsbandbreite zwischen dem virtuellen Sicherheitstoken 30 und den Anwendungsprogrammen - z.B. 28 - zur Verfügung steht. In unterschiedlichen Ausgestaltungen kann das physische Sicherheitstoken 20 in ein einziges oder mehrere virtuelle Sicherheitstoken 30 umgesetzt werden.Another application example results in a physical security token 20 that combines several functions. For example, a smart card may be configured both as a SIM for mobile communication services and as a decryption card for digital television. Because of the limited data throughput through the interface of the smart card and / or the limited computing power may be the use not possible at the same time. Here, virtualization can provide a remedy if in the host system 10 more computing power for the virtual security token 30 and / or a higher communication bandwidth between the virtual security token 30 and the application programs - eg 28 - is available. In various embodiments, the physical security token 20 may be implemented in a single or multiple virtual security tokens 30.

Es versteht sich, dass die obige Beschreibung und die Zeichnungen nur zur Veranschaulichung der Erfindung anhand von Ausführungsbeispielen dienen sollen. Weitere Abwandlungen - insbesondere Kombinationen der oben beschriebenen Merkmale - sind für den Fachmann unmittelbar ersichtlich.It is understood that the above description and the drawings are only intended to illustrate the invention with reference to exemplary embodiments. Further modifications - in particular combinations of the features described above - are immediately apparent to the person skilled in the art.

Claims (12)

Verfahren zum Bereitstellen einer Funktion eines physischen Sicherheitstokens (20) in einem Host-System (10), wobei in einem Virtualisierungsvorgang (34, 36, 38) unter Zugriff auf das physische Sicherheitstoken (20) ein virtuelles Sicherheitstoken (30) in einem gesicherten Bereich (22C) des Host-Systems (10) angelegt wird und hierbei Daten, die zum Bereitstellen der Funktion erforderlich sind, über einen kryptographisch gesicherten Kommunikationskanal (32) von dem physischen Sicherheitstoken (20) zu dem Host-System (10) übertragen werden, so dass das virtuelle Sicherheitstoken (30) nach Abschluss des Virtualisierungsvorgangs (34, 36, 38) die Funktion ohne Rückgriff auf das physische Sicherheitstoken (20) bereitstellt.A method for providing a physical security token function (20) in a host system (10), wherein in a virtualization process (34, 36, 38) accessing the physical security token (20), a virtual security token (30) in a secure area (22C) of the host system (10), thereby transferring data required to provide the function via a cryptographically secured communication channel (32) from the physical security token (20) to the host system (10), such that upon completion of the virtualization operation (34, 36, 38), the virtual security token (30) provides the function without resorting to the physical security token (20). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Virtualisierungsvorgang (34, 36, 38) zumindest bei jedem Hochfahren des Host-Systems (10) ausgeführt wird.A method according to claim 1, characterized in that the virtualization process (34, 36, 38) is executed at least every time the host system (10) is powered up. Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, dass das physische Sicherheitstoken (20) nach Abschluss des Virtualisierungsvorgangs (34, 36, 38) abgeschaltet wird.A method according to claim 1 or claim 2, characterized in that the physical security token (20) is turned off after completion of the virtualization process (34, 36, 38). Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das physische Sicherheitstoken (20) nach Abschluss des Virtualisierungsvorgangs (34, 36, 38) von dem Host-System (10) trennbar ist.Method according to one of claims 1 to 3, characterized in that the physical security token (20) after completion of the virtualization process (34, 36, 38) from the host system (10) is separable. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die bereitgestellte Funktion eine Funktion ist, zu deren Ausführung geheime Daten benötigt werden, die im physischen Sicherheitstoken (20) enthalten sind und die im Zuge des Virtualisierungsvorgangs (34, 36, 38) in das Host-System (10) übertragen werden.Method according to one of Claims 1 to 4, characterized in that the function provided is a function requiring secret data to be executed in the physical environment Security token (20) are included and in the course of the virtualization process (34, 36, 38) are transmitted to the host system (10). Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die bereitgestellte Funktion eine kryptographische Funktion, insbesondere eine Ver- oder Entschlüsselungsfunktion oder eine Authentisierungsfunktion, ist.Method according to one of Claims 1 to 5, characterized in that the function provided is a cryptographic function, in particular an encryption or decryption function or an authentication function. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass der Virtualisierungsvorgang (34, 36, 38) einen Aufbauvorgang (34) zum Aufbau des gesicherten Kommunikationskanals (32), einen Übertragungsvorgang (36) zum Übertragen der zum Bereitstellen der Funktion erforderlichen Daten und einen Anlegevorgang (38) zum Anlegen des virtuellen Sicherheitstokens (30) aufweist.Method according to one of Claims 1 to 6, characterized in that the virtualization process (34, 36, 38) comprises a construction process (34) for establishing the secure communication channel (32), a transmission process (36) for transmitting the data required for providing the function and a docking operation (38) for applying the virtual security token (30). Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das physische Sicherheitstoken (20) eine Chipkarte oder ein Chipmodul ist.Method according to one of claims 1 to 7, characterized in that the physical security token (20) is a chip card or a chip module. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das physische Sicherheitstoken (20) ein SIM oder ein USIM ist, und dass das Host-System (10) ein Telekommunikationsgerät ist.Method according to one of claims 1 to 8, characterized in that the physical security token (20) is a SIM or a USIM, and that the host system (10) is a telecommunication device. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass bei dem Virtualisierungsvorgang (34, 36, 38) aus mehreren physischen Sicherheitstoken (20) ein einziges virtuelles Sicherheitstoken (30) erzeugt wird.Method according to one of claims 1 to 9, characterized in that in the virtualization process (34, 36, 38) off a plurality of physical security tokens (20) a single virtual security token (30) is generated. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass bei dem Virtualisierungsvorgang (34, 36, 38) aus einem einzigen physischen Sicherheitstoken (20) mehrere virtuelle Sicherheitstoken (30) erzeugt werden.Method according to one of claims 1 to 9, characterized in that in the virtualization process (34, 36, 38) a plurality of virtual security tokens (30) are generated from a single physical security token (20). Host-System (10) mit einem Prozessor (12) und einem Speicher (14), das dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 11 auszuführen.A host system (10) comprising a processor (12) and a memory (14) adapted to carry out a method according to any one of claims 1 to 11.
EP07014168A 2006-08-10 2007-07-19 Provision of a function of a security token Active EP1890269B1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006037473A DE102006037473A1 (en) 2006-08-10 2006-08-10 Initialization process for security token function involves creating virtual security token in secure region of host system

Publications (2)

Publication Number Publication Date
EP1890269A1 true EP1890269A1 (en) 2008-02-20
EP1890269B1 EP1890269B1 (en) 2012-01-04

Family

ID=38846955

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07014168A Active EP1890269B1 (en) 2006-08-10 2007-07-19 Provision of a function of a security token

Country Status (4)

Country Link
EP (1) EP1890269B1 (en)
AT (1) ATE540388T1 (en)
DE (1) DE102006037473A1 (en)
ES (1) ES2380494T3 (en)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998007092A1 (en) 1996-08-09 1998-02-19 Tritheim Technologies, Inc. Smart card reader having multiple data enabling storage compartments
WO2001093212A2 (en) 2000-05-30 2001-12-06 Pointsec Mobile Technologies, Inc. Apparatus and methods for using a virtual smart card
US20020080190A1 (en) 2000-12-23 2002-06-27 International Business Machines Corporation Back-up and usage of secure copies of smart card data objects
US20020099634A1 (en) 1998-04-29 2002-07-25 Ncr Corporation Transaction processing systems
WO2003052565A1 (en) 2001-12-17 2003-06-26 Intel Corporation Connectinmg a virtual token to a physical token
WO2004021715A2 (en) 2002-08-29 2004-03-11 Motorola, Inc., A Corporation Of The State Of Delaware Methods and apparatus for simultaneous independent voice and data services using a remote subscriber identity module (sim)
US20040072591A1 (en) 2001-01-12 2004-04-15 Enrico Andreini Apparatus and method for verifying access procedure to mobile telephony networks through sim cards
US20040117318A1 (en) 2002-12-16 2004-06-17 Grawrock David W. Portable token controlling trusted environment launch
US20050227729A1 (en) 2004-04-09 2005-10-13 Nec Corporation Mobile phone, personal data managing method to be used in same, and personal data managing control program
US20060085848A1 (en) 2004-10-19 2006-04-20 Intel Corporation Method and apparatus for securing communications between a smartcard and a terminal

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5748737A (en) * 1994-11-14 1998-05-05 Daggar; Robert N. Multimedia electronic wallet with generic card
GB2396530B (en) * 2002-12-20 2005-12-14 Motorola Inc Wireless communication device,associated smartcard and method of operation therefor
DE10324996A1 (en) * 2003-06-03 2005-02-17 Giesecke & Devrient Gmbh Chip card with at least one application
JP2008504788A (en) * 2004-06-30 2008-02-14 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Method for selecting one of a large number of data sets registered in a device and corresponding device

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998007092A1 (en) 1996-08-09 1998-02-19 Tritheim Technologies, Inc. Smart card reader having multiple data enabling storage compartments
US20020099634A1 (en) 1998-04-29 2002-07-25 Ncr Corporation Transaction processing systems
WO2001093212A2 (en) 2000-05-30 2001-12-06 Pointsec Mobile Technologies, Inc. Apparatus and methods for using a virtual smart card
US20020080190A1 (en) 2000-12-23 2002-06-27 International Business Machines Corporation Back-up and usage of secure copies of smart card data objects
US20040072591A1 (en) 2001-01-12 2004-04-15 Enrico Andreini Apparatus and method for verifying access procedure to mobile telephony networks through sim cards
WO2003052565A1 (en) 2001-12-17 2003-06-26 Intel Corporation Connectinmg a virtual token to a physical token
WO2004021715A2 (en) 2002-08-29 2004-03-11 Motorola, Inc., A Corporation Of The State Of Delaware Methods and apparatus for simultaneous independent voice and data services using a remote subscriber identity module (sim)
US20040117318A1 (en) 2002-12-16 2004-06-17 Grawrock David W. Portable token controlling trusted environment launch
US20050227729A1 (en) 2004-04-09 2005-10-13 Nec Corporation Mobile phone, personal data managing method to be used in same, and personal data managing control program
US20060085848A1 (en) 2004-10-19 2006-04-20 Intel Corporation Method and apparatus for securing communications between a smartcard and a terminal

Also Published As

Publication number Publication date
ES2380494T3 (en) 2012-05-14
EP1890269B1 (en) 2012-01-04
ATE540388T1 (en) 2012-01-15
DE102006037473A1 (en) 2008-02-14

Similar Documents

Publication Publication Date Title
DE112005001672B4 (en) A method of providing a secret direct-proof key to devices using an online service
DE69732882T2 (en) Method and apparatus for trusted processing
DE60221113T2 (en) PROCESS AND SYSTEM FOR THE REMOTE AND MANAGEMENT OF PERSONNEL SECURITY DEVICES
DE112005001654B4 (en) Method for transmitting direct-proof private keys to devices by means of a distribution CD
DE112014006112T5 (en) Applet migration in a secure element
DE10212619A1 (en) Secure user authentication over a communication network
DE112010004930T5 (en) Secure Kerberized Access to an Encrypted File System
EP3245607B1 (en) Method for reading attributes from an id token
EP2137664A2 (en) Method for producing acknowledged transaction data and corresponding device
DE102011081421A1 (en) System for the secure transmission of data and procedures
DE102021206841A1 (en) METHOD OF ENCRYPTING DATA-AT-REST FOR DATA RESIDING ON KUBERNETES PERSISTENT VOLUMES
DE102011077218A1 (en) Access to data stored in a cloud
DE112008001050T5 (en) Symbiotic storage devices
DE112021006008T5 (en) SECURE TRANSFER OF LARGE AMOUNTS OF DATA
EP2272025A1 (en) System and method for providing user media
WO2016046063A1 (en) Authentication stick
DE60300660T2 (en) A method and system for mobile terminals for assigning and managing usage rights associated with a purchased content
DE102012007217A1 (en) Information technology method for safe handling and safe processing of sensitive data for social security number, involves performing translation of sensitive data on placeholder data and vice versa to use services of private cloud
EP1890269B1 (en) Provision of a function of a security token
DE112022000340T5 (en) ATTRIBUTE-BASED ENCRYPTION KEYS AS KEY MATERIAL FOR AUTHENTICATE AND AUTHORIZING USERS WITH KEY HASH MESSAGE AUTHENTICATION CODE
DE112012002307B4 (en) Integrated key server
DE112020003730T5 (en) ACCESS MANAGEMENT TO ENABLE SECURITY IN A STORAGE DEVICE
DE102008051578A1 (en) Data communication with a portable device
EP2723111B1 (en) Multiple factor authentification for mobile end devices
WO2010009896A1 (en) Computer system with automatic access regulation of an application and access control to an application and corresponding access regulation and control method

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK YU

17P Request for examination filed

Effective date: 20080820

AKX Designation fees paid

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: AT

Ref legal event code: REF

Ref document number: 540388

Country of ref document: AT

Kind code of ref document: T

Effective date: 20120115

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502007008986

Country of ref document: DE

Effective date: 20120301

REG Reference to a national code

Ref country code: NL

Ref legal event code: VDEP

Effective date: 20120104

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2380494

Country of ref document: ES

Kind code of ref document: T3

Effective date: 20120514

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

LTIE Lt: invalidation of european patent or patent extension

Effective date: 20120104

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120504

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120404

REG Reference to a national code

Ref country code: IE

Ref legal event code: FD4D

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120504

Ref country code: LV

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120405

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: IE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

26N No opposition filed

Effective date: 20121005

BERE Be: lapsed

Owner name: GIESECKE & DEVRIENT G.M.B.H.

Effective date: 20120731

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502007008986

Country of ref document: DE

Effective date: 20121005

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20120731

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20120731

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20120731

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20120731

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20120104

REG Reference to a national code

Ref country code: AT

Ref legal event code: MM01

Ref document number: 540388

Country of ref document: AT

Kind code of ref document: T

Effective date: 20120731

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20120731

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20120719

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: HU

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20070719

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 9

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 10

REG Reference to a national code

Ref country code: DE

Ref legal event code: R081

Ref document number: 502007008986

Country of ref document: DE

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 11

REG Reference to a national code

Ref country code: ES

Ref legal event code: PC2A

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH

Effective date: 20180122

REG Reference to a national code

Ref country code: GB

Ref legal event code: 732E

Free format text: REGISTERED BETWEEN 20180118 AND 20180124

REG Reference to a national code

Ref country code: FR

Ref legal event code: TP

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Effective date: 20180619

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 12

P01 Opt-out of the competence of the unified patent court (upc) registered

Effective date: 20230520

REG Reference to a national code

Ref country code: DE

Ref legal event code: R081

Ref document number: 502007008986

Country of ref document: DE

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: TR

Payment date: 20230717

Year of fee payment: 17

Ref country code: IT

Payment date: 20230731

Year of fee payment: 17

Ref country code: GB

Payment date: 20230724

Year of fee payment: 17

Ref country code: ES

Payment date: 20230821

Year of fee payment: 17

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20230724

Year of fee payment: 17

Ref country code: DE

Payment date: 20230731

Year of fee payment: 17